Home / Blog / Colin Focus Day, le direzioni IT si confrontano con la nuova data protection

Colin Focus Day, le direzioni IT si confrontano con la nuova data protection

Inserito da Silvia Calissi 7 marzo 2016 in Eventi

IMG_6391Acceso interesse tra gli IT Manager invitati a partecipare al secondo Colin Focus Day 2016 sul tema “Privacy e regolamento europeo: ruolo e responsabilità del comparto IT nelle imprese”. Al centro dell’evento, Colin & Partners ha posto l’analisi del nuovo Regolamento Europeo sotto il profilo degli impatti che riguardano gli uffici IT. La complessità del GDPR (General Data Protection Regulation) ne impone una lettura declinata sulle specificità di ogni funzione aziendale e l’IT Manager, più delle altre figure aziendali, assumerà il ruolo propulsivo per influenzare gli indirizzi aziendali verso flussi di lavoro tecnologici e sicuri.

Capire il Regolamento ragionando per obiettivi

Prima sfida posta agli IT Manager è quella di far comprendere al resto dell’azienda il valore della manovra economica messa in atto dall’Europa, non solo in termini di vantaggi competitivi per un mercato unico dei dati, ma anche come investimento per proteggere il know how aziendale ed evitare le sanzioni economiche decisamente elevate. Le violazioni delle disposizioni infatti vengono sanzionate in modo più ampio rispetto al nostro Codice Privacy, e soprattutto verranno irrogate in base al fatturato mondiale dell’azienda. «La ratio di tale penalizzazione risiede nel fatto che si vuole colpire l’azienda nel suo complesso e non solo un comparto dislocato in una parte del mondo, deresponsabilizzando le sedi principali», ha sottolineato l’Avv. Frediani.

Secondo obiettivo: rendersi conformi rispetto al Codice Privacy e agli adempimenti al momento in vigore consente di fare un passaggio più sereno verso gli adeguamenti del Regolamento Europeo. Il nostro Codice infatti è il presupposto minimo ed indispensabile per andare incontro al nuovo al Regolamento. Inoltre i Provvedimenti del Garante e le indicazioni dell’autorità nazionale manterranno una sensibilità su temi particolari come marketing e CRM, anche per non inficiare la continuità e l’autonomia decisionale degli Stati. Il Regolamento quindi lascia spazi aperti per le pronunce delle Autorità nazionali, ma le aziende devono comunque comprendere le novità, innanzitutto in ambito terminologico: processor e controller vengono utilizzati per sostituire i più familiari titolare e responsabile del trattamento: «Ma non è un cambiamento solo di forma. Le responsabilità si verticalizzano verso il controller molto più che nel corrispettivo Titolare ed il controller ha responsabilità dirette e competenze che il regolamento esplicita», ha precisato Alessandro Cecchetti, General Manager. Inoltre, il regolamento esprime in modo univoco tutte le nozioni di “dato personale” includendo anche il nome, la geolocalizzazione e i nickname. Continua Alessandro Cecchetti: «Solo il dato anonimizzato è fuori dall’ambito di applicazione del Regolamento, ma sappiamo che in ambito tecnico è veramente difficile che il dato sia puramente anonimo per uscire dagli adempimenti normativi, in quanto anche con un processo di pseudonimizzazione, i dati isolati vengono assemblati e assegnati velocemente all’identità di una persona».

Uno dei principi cardine del regolamento sono le misure tecniche e organizzative da rendere adeguate ai contesti aziendali: va quindi delineato il flusso che strutturi bene il passaggio dei dati e conservarli per un arco di tempo non eccedente.

Colin Focus DayA questo proposito i partecipanti hanno portato esempi relativi ai database del marketing, specialmente nell’ambito business to consumer: in proiezione del regolamento europeo, dovranno strutturarsi campagne commerciali conformi alla normativa, sanando mancati consensi o adeguando vecchi database.

Privacy by design e by default e l’incidenza sugli investimenti

Le misure tecniche prevedono adempimenti espliciti enunciati nel Regolamento ma anche derivanti dalla logica di processi di aziende molto strutturate. Ad esempio i principi Privacy by design e by default: un prodotto deve essere by design conforme alla normativa. Il controller che introduce il prodotto in azienda deve assicurarsi che esso sia di default conforme al regolamento in azienda. In ipotesi, se il controller compra un proxy (o un qualsiasi software) e lo inserisce in azienda, lo contestualizza nella sua realtà. Ma oltre agli effetti tecnologici ci sono quelli contrattuali che riguardano la scelta del prodotto. La conformità dei software è quindi dirimente anche nella scelta del fornitore. Questo s’impone per tutte le direzioni, non solo l’IT, perché ogni funzione compra un software per i propri utilizzi spesso senza consapevolezza delle implicazioni. L’Avv. Frediani a questo proposito è tornata sull’evidenza della manovra economica che incide sulla scelta del fornitore e del prodotto conforme alla normativa europea e che pone potenzialmente fuori dal mercato tutti quei prodotti che seguono altri ordinamenti: «E’ vero che il Regolamento avrà un tempo che permette alle aziende l’adeguamento, ma l’applicazione dei principi by design e by default incide su scelte di prodotti tecnologicamente validi per una decina di anni, che probabilmente oggi sono conformi e che dopo il regolamento non lo saranno più. Dunque, un’azienda che non vuole compromettere i suoi investimenti deve applicare da subito il regolamento».

Considerazioni analoghe valgono per le scelte di tecnologie Cloud, dove dovranno essere mappati anche tutti i flussi d’informazione con fornitori e sub-fornitori, specialmente nei contesti internazionali che impongono dei trasferimenti di dati a piattaforme di Paesi terzi: chi assume il ruolo d’intermediario deve garantire che tutti gli aspetti di sicurezza e compliance siano stati affrontati.

Il Privacy Impact Assessment (PIA) è lo strumento atto a tener conto degli impatti del trattamento sui diritti dell’interessato e valutare i possibili rischi e risulta particolarmente importante quando si verifica per esempio un caso di “breach”. Le violazioni di dati hanno ripercussioni evidenti in termini di immagine dell’azienda, specialmente nei casi più gravi che comportano obblighi di notifica non solo all’autorità garante ma anche all’interessato, per cui ogni dipendente dovrebbe essere edotto su come evitarle.

Dpo e processi aziendali

Colin Focus DayA conclusione, largo spazio e dibattito sulla designazione del Data Protection Officer, obbligatorio per tutti gli uffici pubblici (tranne i tribunali) e per i privati quando sussistono “trattamenti che richiedono il controllo regolare e sistematico degli interessi su larga scala”: «Ciò rimane ambiguo, ma è da considerare che l’impatto della normativa è talmente ampio che per ogni azienda sarà necessario individuare una risorsa in grado di seguire ogni aspetto del regolamento», ha concluso Cecchetti. E’ evidente l’analogia con l’impianto del D.Lgs 231 e gli Organismi di Vigilanza, non solo per il grado di indipendenza del Dpo, ma anche per come tutto il Regolamento rivolge l’attenzione al processo organizzativo aziendale, focalizzando l’interesse alle policy e agli assetti interni, e designando CIO e IT Manager come i propulsori di un adeguamento sostenibile, vantaggioso e sicuro.

Se gli IT Manager risultano particolarmente sensibili ai temi della sicurezza dei dati, ciò non toglie che il Regolamento debba essere declinato nelle specificità di altri comparti in modo che tutta l’azienda condivida le scelte tecnologiche e partecipi alla definizione dei flussi di lavoro. Appuntamento quindi al prossimo Colin Focus Day del 6 Aprile, per approcciare ed accompagnare altre aziende al passaggio verso il nuovo quadro normativo.

Don`t copy text!